|
příklad hacku Joomla 1.5.x |
|
Dlouho jsem zvažoval jestli takovýto přímý návod zveřejnit nebo ne. Nakonec jsem se rozhodl kladně z důvodu, že většina lidí co Joomla používá, nemá o technické stránce věci ani ponětí. Hacking považují za cosi mýtyckého a technicky velmi náročného. Tento návod demonstruje, jak může být takováto věc jednoduchá, zvládne ji i dítě školního věku bez základních znalostí programování či hackování (postačí umět hledat na google). Následující příklad hacku využívá chybně naprogramované části jádra Joomla sloužící pro reset hesla. Tato chyba je v současné verzi 1.5.6 již odstraněna, prakticky jsem ji úspěšně testoval na verzích 1.5.0 a 1.5.1.
1. zadejte do prohlížeče: http://www.priklad.cz/index.php?option=com_user&view=reset&layout=confirm
2. Do položky TOKEN vložte znak **** a klikněte ODESLAT (zámerně neuvádíme jaký znak, aby nebylo možno tento postup zneužít)
3. Zvolte si vlastní heslo pro ADMIN
Nyní se můžete přihlásit do backendu jako administrátor.
Nepředpokládám, že by někdo na svém webu ještě provozoval tyto staré verze Joomla, ale pokud je provozuje, doufám že se vážně zamyslí a začne si svou Joomla pravidelně aktualizovat, případně si o tomto problému něco nastuduje. Joomla je extrémě rozsáhlý a funkční systém, a je v podstatě nemožné ho tvořit bez chyb. I programátoři jsou jenom lidi a v desetitisících řádkách kódu se může čas od času chyba objevit. Navíc ruku na srdce, žádný systém není bez chyb. Důležité je to, že vývojáři Joomla takovéto chyby okamžitě odstraňují a vydávají aktualizace. Na uživatelích je tyto aktualizace sledovat a udržováním aktuálního stavu předcházet problémům s hacknutýma stránkama. Samozřejmě jen aktualizací Joomla jádra nekončí administrace tohoto systému, je to daleko složitější a vydalo by to na další článek. Je to ale prostě absolutní základ, kdo není schopen si udržovat Joomla aktuální, neměl by tvořit webové stránky.
Na závěr je vhodné se zmínit, že takto fatální chyba se vyskytuje opravdu jen výjimečně. Za poslední 3 roky jsem neměl tu čest se setkat s chybou podobného ražení. Není třeba propadat panice a chovat se paranoidně. Jádro Joomla jako takové patří v velmi solidně zabezpečeným produktům. To, že se o Joomla více píše ve spojení s bezpečností je dáno jejím úspěchem a velkým podílem na trhu CMS.
|